Jak najít web pro maskování: skener podsítě
Jak skener podsítě CreateYourVPN najde skutečné sousední weby, za které se můžete vydávat (Reality SNI/DEST), proč je blízký web nejlepší maskování a jak spustit, číst a zastavit sken.
V lekci o inboundech jsme vybírali web pro maskování — populární HTTPS web, za jehož návštěvy se váš VPN provoz vydává. Tato volba je důležitější, než vypadá, a panel má nástroj, který ji udělá za vás: skener podsítě. Tato lekce vysvětluje, co je dobrý maskovací web, proč je soused vašeho vlastního serveru obvykle ten nejlepší a jak skener takové sousedy najde automaticky.
Proč na maskovacím webu záleží
Každý inbound běží na VLESS + Reality. Reality nechá váš provoz vypadat jako běžná HTTPS návštěva skutečného populárního webu — a dělá to tak, že s tímto webem doopravdy dokončí první část skutečného TLS handshaku. V panelu se tento web objevuje jako pole „Web pro maskování"; v pokročilém režimu se rozpadá na technické parametry DEST (skutečný host, od kterého se handshake „půjčuje") a SERVER_NAMES (jméno, které ohlašují aplikace vašich uživatelů, tedy SNI).
Aby maskování drželo, musí web splňovat několik podmínek naráz:
- Mluví moderním TLS 1.3 a HTTP/2 (starší weby handshake prozradí).
- Je velký a nenápadný — provoz k němu nevyčnívá.
- Není blokovaný v zemi vašeho serveru (blokované „krytí" celý smysl ničí).
- Je rychle dosažitelný ze serveru (handshake je skutečný síťový provoz).
Proč je soused nejlepší krytí
Poslední bod je ten zajímavý. Váš server stojí v datovém centru, obklopený dalšími stroji ve stejné podsíti — často jinými zákazníky téhož poskytovatele hostingu, na nichž běží úplně obyčejné weby. Vydávat se za jednoho z takových sousedů má dvě výhody:
- Latence je téměř nulová. DEST handshake nikdy neopustí datové centrum, takže se spojení navazují rychleji.
- Splyne s okolím. Provoz z vašeho serveru na stroj o skříň dál je přesně to, co datové centrum vidí celé dny.
Háček: své sousedy neznáte nazpaměť. Přesně k tomu skener slouží.
Co skener podsítě dělá
Skener požádá váš server, aby tiše proklepal své okolí a ohlásil, kteří sousedé by posloužili jako dobré krytí pro Reality.
Server prozkoumá své síťové sousedy — stroje s blízkými IP adresami: nejprve vlastní podsíť, poté širší blok kolem sebe (ve výchozím nastavení /20).
U každého souseda, který odpoví, zkontroluje handshake: nabízí TLS 1.3 a ohlašuje HTTP/2? Jen takoví se kvalifikují jako Reality dests.
Potvrzené weby se sesbírají, odstraní se duplicity a uloží se k vašemu serveru. Panel je zobrazí jako návrhy připravené k použití.
Sken se spustí automaticky při prvním nastavení serveru, takže než otevřete formulář inboundu, návrhy tam obvykle už jsou. Můžete ho také kdykoli spustit ručně.
Skener pouze čte — otevře k každému sousedovi běžné spojení a podívá se na TLS handshake, přesně jako by to udělal jakýkoli prohlížeč. Na těch strojích nic nemění a neukládá nic kromě potvrzených doménových jmen.
Kde ho najdete
Tentýž výsledek skenu se sdílí všude, kde se maskovací web vybírá, takže návrhy a živý průběh zůstávají synchronní:
- Ve formuláři inboundu, pod polem „Web pro maskování" — tlačítko „Najít weby v podsíti" a po proběhlém skenu rychlé čipy s nalezenými doménami. Klikněte na čip, aby se pole vyplnilo.
- V okně serveru (otevřete server ze svého clusteru), v sekci „Weby pro maskování (SNI)" — tentýž sken se souhrnem, kolik webů se našlo.
- Na kartě „probíhá" na domovské stránce — dokud se čerstvě přidaný server ještě nastavuje, průběh skenu se ukazuje přímo tam.
Jak číst výsledky
Rychlé čipy ukazují weby nalezené ve vaší podsíti minus ty, které vaše inboundy už používají. Takže jak utrácíte kandidáty za inboundy, mizí ze seznamu a web, který uvolníte, se vrací. Pokud jsou všechny nalezené weby už obsazené, panel to oznámí a vyzve vás, ať zadáte doménu ručně nebo přeskenujete.
Soused je dobré krytí, ne kouzelné. Přesto dejte přednost kandidátovi, který není blokovaný v zemi vašeho serveru — velkému, nudnému webu. Pokud nic poblíž nesedí, ruční zadání známého globálního webu (Google, Microsoft, Apple, Cloudflare) je vždy platná záložní možnost.
Spuštění, zastavení a přeskenování
- Spustit — stiskněte „Najít weby v podsíti" (nebo „Naskenovat znovu" po předchozím běhu). Široký sken trvá zhruba minutu; výsledky se objevují postupně, jak se kontroluje každý
/24, takže nemusíte čekat na celek, abyste vybrali web. - Zastavit — našli jste dost? Stiskněte „Zastavit". Tlačítko se změní na „Zastavuji…", dokud server dokončí kus, na kterém pracuje; vše dosud nalezené se zachová. Až se to usadí, sken se označí jako dokončený a objeví se „Naskenovat znovu".
- Naskenovat znovu — spustí čerstvý sken a obnoví seznam kandidátů. Použijte ho, když jste server přesunuli nebo se okolí mohlo změnit.
Sken můžete zastavit jediným kliknutím — na chvíli ukáže „Zastavuji…" a pak skončí sám. Není třeba mačkat Zastavit dvakrát ani čekat před spuštěním nového skenu.
Hlavní body
- Maskovací web (Reality DEST/SNI) musí být velký, neblokovaný web s TLS 1.3 + HTTP/2 — a soused vašeho serveru je obvykle ten nejlepší: rychlý a nenápadný.
- Skener podsítě takové sousedy najde za vás: proklepe
/24–/20serveru, ponechá vyhovující weby a nabídne je jako návrhy na jedno kliknutí. - Spouští se automaticky při nastavení a lze ho kdykoli spustit znovu — z formuláře inboundu, okna serveru nebo karty „probíhá".
- Rychlé čipy = nalezené weby minus ty už používané; jeden uvolněte a vrátí se.
- Spouštějte, zastavujte (jedno kliknutí → „Zastavuji…") a přeskenovávejte podle potřeby — vše nalezené se vždy zachová.
Co dál
Inbound může být víc než jen jedny dveře — může to být řetěz serverů, kde provoz vstupuje v jedné zemi a vystupuje v jiné. Každý hop si vybírá vlastní maskovací web, takže skener se vyplatí i tam.
Inboundy a dělené tunelování
Co je inbound v CreateYourVPN: maskování za web, blokování torrentů a reklam a dělené tunelování — který provoz jde přes VPN a který přímo.
Multihop: řetězce serverů
Jak vytvořit multihop inbound v CreateYourVPN: provoz vstupuje na jednom serveru a vystupuje z jiného. Proč byste to chtěli, jak ho vytvořit a co vidí uživatel.